Part 1

Datenschutz & personenbezogene Daten

Dieses Kapitel bietet grundlegende Informationen zum Datenschutz und zeigt auf, wie KI und LLM verantwortungsvoll eingesetzt werden können. Insbesondere im Hinblick auf den Schutz personenbezogener Daten und die Einhaltung gesetzlicher Vorschriften.

1.    KI-Kompetenz bedeutet auch Datenschutzkompetenz

Im Rahmen einer Schulung zur Nutzung von KI-Werkzeugen an Hochschulen ist ein klares Verständnis für das Konzept der personenbezogenen Daten unerlässlich.

Vertiefende Informationen zum Thema Datenschutz und Umgang mit personenbezogenen Daten für Beschäftigte finden Sie in der "Basisschulung Datenschutz" (Anmeldung in ILIAS erforderlich). Nach Abschluss der Schulung können Sie sich ein Teilnahmezertifikat ausstellen lassen. Bitte nutzen Sie diese Möglichkeit! Das Zertifikat dient als Nachweis, dass Sie die Schulung erfolgreich absolviert haben.

2.    Was sind personenbezogene Daten?

Personenbezogene Daten sind nach der Datenschutzgrundverordnung (DSGVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen zum Beispiel: 

  • Identifikationsdaten: Name, Adresse, Geburtsdatum, E-Mail-Adresse
  • Kontaktdaten: Telefonnummer, Kommunikationsverläufe
  • Studien- und Leistungsdaten: Matrikelnummer, Noten, Studienverlauf
  • Sensible Daten: Gesundheitsdaten, ethnische Herkunft, politische Meinungen

Auch indirekte Informationen, die in Kombination mit anderen Daten zur Identifizierung einer Person führen können, fallen darunter. Dazu kommt es auch darauf an, welches Zusatzwissen beim jeweiligen Empfänger oder der datenverarbeitenden Organisation vorhanden ist oder beschafft werden kann. Die Definition ist also sehr weit gefasst.

3.    Relevanz für die Nutzung von KI-Systemen und LLMs

Bei der Nutzung von KI-Systemen werden in der Regel Daten übermittelt, etwa bei der Registrierung oder durch die Verarbeitung von Eingaben. Dabei ist oft unklar, ob und wie sich der Anbieter an die Datenschutzgrundverordnung (DSGVO) hält. In diesem Zusammenhang ergeben sich folgende Datenschutzrisiken:

Datenverarbeitung in Drittländern:
Teilweise verarbeiten KI-Anbieter Daten außerhalb der EU oder des EWR, in Ländern, die keinen vergleichbaren Datenschutzstandard wie die DSGVO bieten. Das hat insbesondere zur Folge, dass Dritte wie Regierungsorganisationen oder Geheimdienste auf die Daten zugreifen können und Betroffene die Rechte, die ihnen nach den europäischen Datenschutzgesetzen in diesem Zusammenhang zustehen, nicht oder nur unzureichend geltend machen können.

Profiling:
Für die Nutzung von KI-Systemen ist oft eine Registrierung erforderlich, bei der Anmeldedaten und möglicherweise Zahlungsinformationen angegeben werden müssen. Diese Daten könnten mit den Eingabedaten kombiniert und zur Erstellung von persönlichen Profilen über die User genutzt werden. Diese Profile können zum Beispiel an Werbenetzwerke weitergegeben werden.

Weitere Nutzung für eigene Zwecke:
Es besteht die Gefahr, dass eingegebene Daten von den Anbietern eingesehen und für eigene Zwecke, beispielsweise zum Training der Modelle, genutzt werden. Die Folgen davon kann sein, dass eingegebene privaten Daten bei Anfragen anderer Nutzer vom Modell ausgegeben werden.

Eingeschränkte Geltendmachung von Betroffenenrechten:
Die Rechte von Nutzenden oder Personen, deren Daten in das System eingeben werden, wie das Recht auf Auskunft, Berichtigung oder Löschung personenbezogener Daten, sind insbesondere bei Anbietern aus Drittländern oft schwer durchzusetzen. Das liegt zum einen an der Rechtslage, aber auch an Aufbau und Funktionsweise der Modelle selbst.

Mangelnde Informations- und Transparenzpflichten:
Viele Anbieter von KI-Systemen informieren nicht ausreichend darüber, wie Daten verarbeitet werden, welche Zwecke die Verarbeitung verfolgt und welche Rechte den Nutzern zustehen. Dies erschwert es, informierte Entscheidungen zu treffen und kann zu einem Risiko für die Datenschutzrechte der Betroffenen werden.

Auch mangelnde Anonymisierung durch Nutzende und unbeabsichtigte Ausgaben personenbezogener Daten durch das Modell stellen Risiken dar. Die Universität Freiburg stellt durch technische und organisatorische Maßnahmen sicher, dass diese Risiken ausgeschlossen oder so weit wie möglich reduziert werden. Dabei ist die Universität auch auf Ihre Unterstützung angewiesen. Der Einsatz von innovativen Technologien wie KI-Anwendungen setzt einen kritisch-reflexiven und verantwortungsbewussten Umgang der Nutzenden voraus.

4. Praktische Hinweise zur Risikominimierung:

  1. Lesen Sie bei intern angebotenen Systemen die Nutzungsbedingungen oder einschlägigen Richtlinien sorgfältig durch und halten Sie die Vorgaben ein. In der Regel ist es nach den Nutzungsvorgaben Ihrer Institution untersagt, Daten mit Personenbezug in generative KI-Systeme einzugeben oder gezielt danach zu fragen.
  2. Geben Sie nur unbedingt erforderliche Informationen ein und verzichten Sie auf die Weitergabe sensibler Informationen wie Betriebs- und Geschäftsgeheimnisse. Das gilt für Ihre eigenen Daten und die Daten der Hochschule sowie für Daten Dritter oder anderer Organisationen.
  3. Daten, wie Forschungsdaten ohne Personenbezug, dürfen nur genutzt werden, wenn entsprechende Nutzungsrechte vorliegen, das Urheberrecht beachtet wird und keine Geheimhaltungsvereinbarungen oder ähnliches im Wege stehen.

Bei externen Anbietern gilt außerdem:

  • Lesen Sie die Nutzungsbestimmungen bzw. Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzerklärungen sorgfältig und prüfen Sie, ob der Dienst den DSGVO-Vorgaben entspricht, bevor Sie ihn nutzen.
  • Schließen Sie, wenn möglich, die weitere Verarbeitung durch den Anbieter zu eignen Zwecken aus (Training und Profiling).
  • Verwenden Sie bei der Registrierung eine anonymisierte E-Mail-Adresse und geben Sie möglichst wenige Daten von sich an.

5. Umgang mit Ausgaben von KI-Systemen

Auch KI-Systeme können personenbezogene Daten generieren. In der Regel fehlt jedoch die rechtliche Grundlage, diese Daten weiterzuverarbeiten, etwa zu speichern oder zu veröffentlichen. Dies gilt vor allem im dienstlichen Kontext.

Bei Daten von Personen des öffentlichen Lebens (z. B. Prominenten) kann im Einzelfall ein überwiegendes berechtigtes Interesse an der Verarbeitung bestehen. Dies setzt nach der derzeit geltenden Rechtsprechung jedoch voraus, dass die Daten aus öffentlich zugänglichen Quellen stammen und ein öffentliches Interesse an ihrer Kenntnis besteht.

Da die Herkunft von KI-generierten Daten in der Regel unklar ist, sollten diese besonders vorsichtig behandelt werden. Die DSGVO sieht derzeit keine spezifischen Ausnahmen für solche Daten vor, unabhängig davon, ob sie theoretisch aus öffentlichen Quellen stammen könnten. Wie sich die Rechtslage hier entwickelt, bleibt abzuwarten.

Daher gilt: Grundsätzlich keine personenbezogenen Daten aus den Ausgaben übernehmen!

Weitere praktische Hinweise zum Umgang mit Ausgaben:

  • Prompts sollten so formuliert werden, dass keine personenbezogenen Daten explizit angefragt oder verarbeitet werden. Tipps zum „Datenschutzfreundlichen Prompten“ erhalten Sie auf der nächsten Seite.
  • Überprüfen Sie die generierten Inhalte sorgfältig, um sicherzustellen, dass keine personenbezogenen oder sonstigen sensiblen Informationen enthalten sind.
  • Nutzen Sie nur Inhalte, die keine personenbezogenen Daten enthalten. Löschen Sie Chats, wenn personenbezogene Daten generiert wurden, am Ende der Sitzung.

6. Bewusstsein für KI-Limitationen

Generative KI-Anwendungen, die auf LLMs beruhen, sind nicht darauf ausgelegt, die „richtige“ Antwort zu geben. Sie wurden entwickelt, um auf sprachlicher Ebene mit uns Menschen zu interagieren. Die Antworten basieren auf Wahrscheinlichkeits-Modellen, die aus großen Mengen von Trainingsdaten gelernt haben und werden durch die Berechnung der wahrscheinlichsten nächsten Wörter generiert. Beachten Sie in diesem Zusammenhang, dass generative KI-Systeme Inhalte erstellen, die fehlerhaft oder ungenau sein können. Prüfen Sie alle generierten Informationen und passen Sie diese gegebenenfalls an, bevor sie diese übernehmen.

Besonders wichtig:
Beim Einsatz von KI in Verwaltung, Forschung Lehre und Studium ist der Schutz personenbezogener Daten entscheidend, um die eigene sowie die Privatsphäre der Betroffenen zu wahren. Im dienstlichen Kontext dürfen nur von der Universität Freiburg freigegebene KI-Systeme genutzt werden. Die Eingabe von Daten mit Personenbezug oder anderen sensiblen Informationen in von der Universität bereitgestellte generative KI-Systeme ist nicht zulässig.

Vorherige Seite

Nächste Seite



Information Message
No comment has been posted yet.